Hacker nordcoreani ritenuti coinvolti nella violazione dell'istituto nucleare sudcoreano

Secondo i rapporti, un gruppo di hacker nordcoreani di alto profilo è stato coinvolto in una violazione della sicurezza che ha colpito un istituto di ricerca nucleare situato in Corea del Sud.

Secondo le informazioni divulgate dai membri del parlamento sudcoreano, ci sono stati 13 casi di accesso non autorizzato da diversi indirizzi IP. La rete compromessa apparteneva a KAERI o all'Istituto coreano di ricerca sull'energia atomica.

Lo stesso parlamentare ha affermato che una parte degli indirizzi IP utilizzati nei casi di accesso non autorizzato apparteneva a un'entità chiamata Kimsuky. Kimsuky è il nome dato a un gruppo dell'APT che si ritiene operi fuori dalla Corea del Nord e lavori per il governo nordcoreano. Si ritiene che il gruppo di attori delle minacce svolga un ruolo di spionaggio informatico e raccolga informazioni dai suoi obiettivi.

I rapporti menzionano che si ritiene che lo stesso gruppo di minacce sia anche dietro una campagna che inietta malware nei documenti che trattano la risposta del paese meridionale alla pandemia di Covid-19.

I rappresentanti dell'istituto di ricerca sull'energia atomica hanno risposto alle affermazioni del membro del parlamento, affermando che un partito "estraneo non identificato" ha avuto accesso solo a parti della sua rete. L'accesso non autorizzato ha approfittato di una debolezza del software VPN utilizzato dall'istituto.

La dichiarazione ufficiale ha anche dichiarato che sono state prese misure per affrontare la debolezza e l'istituto sta lavorando con le autorità sudcoreane per determinare l'esatta entità che c'era dietro l'attacco, nonché la portata di eventuali danni che potrebbero essere stati inflitti.

ZDNet riferisce che l'istituto non ha risposto ad alcuna richiesta di ulteriori commenti sull'incidente.

I punti deboli nelle reti VPN che non dispongono di autenticazione a più fattori o presentano altri difetti di sicurezza hanno portato a uno dei più grandi attacchi ransomware negli ultimi mesi. L'attacco ransomware a Colonial Pipeline negli Stati Uniti è stato eseguito grazie agli attori delle minacce che hanno messo le mani su un'unica password VPN funzionale.

Kimsuky APT nordcoreano è stato anche l'attore dietro un attacco informatico effettuato nel 2014 contro l'impianto nucleare e idroelettrico della Corea del Sud, una filiale della più grande azienda elettrica nazionale del paese.

Questo è solo l'ultimo incidente di una lunga catena di attacchi comunemente attribuiti agli attori di minacce sponsorizzati dallo stato nordcoreano che prendono di mira istituzioni e strutture sudcoreane.